Shadow IT

Le Shadow IT, ou Informatique fantôme, parfois appelé Rogue IT, désigne les systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information.

Pour ses partisans, le Shadow IT est considéré comme une importante source d'innovation, de tels systèmes servant de prototypes pour de futures solutions officielles. Pour ses détracteurs, le Shadow IT représente un risque pour l'organisation, les solutions de ce type étant réalisées au mépris des bonnes pratiques en vigueur, notamment en matière de qualité, de documentation, de sécurité, de fiabilité, etc.

Problématiques de conformité[modifier | modifier le code]

Le Shadow IT désigne toute application ou processus de transmission d'information utilisé dans un processus métier sans l'aval de la direction des systèmes d'information (DSI). Le service informatique ignore fréquemment son existence, il ne l'a pas réalisé et il ne lui fournit aucun support. Un tel processus génère des données "officieuses", non contrôlées et qui peuvent contrevenir aux standards et réglementations en vigueur, tels que :

Sarbanes-Oxley
Bâle II
IFRS (International Financial Reporting Standards),
ITIL (Information Technology Infrastructure Library)
HIPAA (Health Insurance Portability and Accountability Act),
RGPD (Règlement général sur la protection des données),
TQM (Total Quality Management), etc.

Exemples[modifier | modifier le code]

D'après une étude de 2012^[1] portant sur 129 praticiens des systèmes d'informations en France, les exemples les plus fréquents de Shadow IT sont les suivants :

Classeurs Excel comprenant des macros
Logiciels hors catalogue
Solutions Cloud
ERP hors catalogue
Systèmes décisionnels
Site web
Matériel informatique
Solutions VoIP
Informaticien hors DSI
Projet sans appel à la DSI
BYOD

Les raisons de l'existence du Shadow IT[modifier | modifier le code]

Il est généralement admis que les utilisateurs ont recours au Shadow IT car ils pensent ne pas avoir d'autres moyens à leur disposition pour obtenir les données nécessaires à leurs missions. Ainsi, ils ont fréquemment recours aux tableurs pour analyser des données car ils savent utiliser ces outils, car les tableurs sont « gratuits », qu'ils permettent d'échanger de l'information avec n'importe qui et que, d'une façon ou d'une autre, ils leur permettent d'obtenir les résultats souhaités^[2].

Une autre étude^[3] confirme que 35 % des salariés estiment devoir contourner des procédures officielles ou des mesures de sécurité afin de pouvoir travailler efficacement. 63 % d'entre eux envoient des documents internes à leur adresse électronique personnelle afin de poursuivre à domicile le travail commencé au bureau, tout en ayant conscience que cela n'est probablement pas autorisé.

Conséquences[modifier | modifier le code]

Le Shadow IT augmente de manière intuitive et avérée les risques en matière de sécurité informatique. D'autres conséquences remarquables sont développées ci-après^[4].

Chronophagie[modifier | modifier le code]

Le Shadow IT génère des coûts cachés pour l'organisation, principalement constitués en salariés non-informaticiens dans les services financiers, le marketing, les ressources humaines, etc., qui passent un temps considérable à évaluer et vérifier les données produites.

Morcellement des référentiels[modifier | modifier le code]

Si une application de type tableur (opérant sur des feuilles de calcul, regroupées en fichiers de type classeur) est utilisée avec des définitions et indicateurs propres, il est probable que, sur la durée, des incohérences finissent par émerger et engendrent de petites différences, d'une version à une autre et d'un individu à un autre, les classeurs étant fréquemment dupliqués et modifiés. De plus, de nombreuses erreurs peuvent émailler ces classeurs du fait d'un défaut de compétence technique, de l'absence de procédures de test rigoureuses et/ou de l'absence de procédure de gestion ou de contrôle des versions de documents.

Utilisation incorrecte[modifier | modifier le code]

Même lorsque les définitions, indicateurs et formules de calcul sont corrects, les méthodes d'analyse peuvent être faussées par l'utilisation de liaisons entre différents classeurs, les tableurs ne permettant que difficilement une analyse efficace des dépendances de données entre différents documents. Enfin, le processus entier peut lui-même être globalement erroné.

Dépréciations d'investissements[modifier | modifier le code]

Les applications Shadow IT peuvent empêcher l'organisation d'obtenir un retour sur investissement (ROI) satisfaisant ou fiable de la part des outils acquis pour réaliser les tâches qu'elles couvrent à présent en tout ou partie. Ce phénomène est fréquemment observé dans les projets d'entrepôts de données et d'informatique décisionnelle (BI), lesquels sont engagés avec les meilleures intentions mais dont l'utilisation cohérente et à grande échelle ne démarre jamais vraiment.

Augmentation des risques de perte de données[modifier | modifier le code]

Les applications de type Shadow IT peuvent ne pas être associées à des procédures de sauvegarde de données, même si elles incluent des fonctionnalités susceptibles d'y contribuer. Lorsque de telles procédures ou fonctionnalités existent, elles peuvent se révéler insuffisantes, mal conçues, non exécutées ou mal mises en œuvre. En outre les utilisateurs impliqués dans la réalisation et l'utilisation de Shadow IT n'ont pas forcément été sensibilisés à ces considérations.

Frein à l'innovation[modifier | modifier le code]

Le Shadow IT peut remplir un rôle d'innovation, permettant de tester des idées et concepts.

Il peut également être un frein à l'adoption de nouvelles technologies. En effet, si des tableurs sont impliqués dans la réalisation de tâches critiques, leur remplacement doit être envisagé avec la plus grande prudence. Ces tableurs peuvent par ailleurs parfaitement remplir leur rôle. Mais l'absence d'une documentation complète et adéquate ou les lacunes en matière de contrôle de cohérence et de traçabilité alourdissent ces processus et les rendent fragiles.

Références[modifier | modifier le code]

↑ RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU « SHADOW IT » par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/
↑ Sherman, R., 2004, Shedding light on Shadow Systems, DM Direct, Athena IT Solutions.
↑ RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from: http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf
↑ Raden, N., October 2005, Shadow IT: A Lesson for BI, BI Review Magazine, Data Management Review and SourceMedia, Inc.

Liens externes[modifier | modifier le code]

[1] RESULTATS DE L’ENQUETE SUR LE PHENOMENE DU « SHADOW IT » par Thomas Chejfec : http://chejfec.com/2012/12/18/resultats-complets-de-lenquete-shadow-it/

[2] Sherman, R., 2004, Shedding light on Shadow Systems, DM Direct, Athena IT Solutions.

[3] RSA,November 2007,The Confessions Survey: Office Workers Reveal Everyday Behavior That Places Sensitive Information at Risk,available from: http://www.rsa.com/company/news/releases/pdfs/RSA-insider-confessions.pdf

[4] Raden, N., October 2005, Shadow IT: A Lesson for BI, BI Review Magazine, Data Management Review and SourceMedia, Inc.

[1]

[2]

[3]

[4]